本发明专利技术涉及一种计算机安全保障方法,特别涉及一种针对操作系统强制访问控制策略安全性问题所提出的解决方法及其实现的系统。该系统包括访问控制执行模块、决策模块、策略模块和策略序列模块;其工作状态可由系统安全管理员选择为正常状态和学习模式。本发明专利技术提供的一种强制访问控制方法,将策略序列与强制访问控制相结合,采用策略序列分析方法构建访问控制模型,能够保证在自动细化生成的强制访问控制策略下操作系统的安全;自学习的策略模块能够将初始的强制访问控制策略细化,细化后的访问控制策略能够满足初始的强制访问控制模型,能更好地有效保护操作系统的安全;其核心模块可完全进入在操作系统内核,提高了运行效率。
【技术实现步骤摘要】
本专利技术涉及一种计算机安全保障方法,特别涉及一种针对操作系统强制访问控制策略安全性问题所提出的解决方法及其实现的系统。
技术介绍
目前,国内外许多强制访问控制系统的研究项目的强制访问控制策略主要是采 用预运行获取程序所需的系统级权限信息,用户直接提供 操作系统层次的程序权限需求或采用粗粒度控制来生成强制访问控制策略。已实现 的系统如SELinux强制访问控制模型,它实现了多种强制访问控制模型,提供了复杂的强 制访问控制机制,但需要用户根据系统运行情况提供相应的复杂的强制访问规则,这种方 案对一般用户而言使用麻烦;用户直接提供权限需求方案要求用户非常了解系统结构和程 序运行机制,难以被普通用户接受。另一方面,少数通过模糊控制或粗粒度控制,如简化的 强制访问控制内核,英文简称SMACK,它使用简单的文本标签标记所有进程、文件和网络流 量,并使用创建进程的标签创建最新的文件,另外通常还存在一些带有明确定义的访问规 则。进程常常可以对具有同一标签的对象进行访问。这种强制访问控制方法粒度较大,规 则简单,但不能满足操作系统的安全需求。如何能够方便地得到较强的强制访问控制策略, 是当前的研究热点。 国内外研究表明,仅靠强制访问控制及自主访问控制无法保证系统安全 。 而序列分析方法是一种能够有效地增加系统安全性的方法,这是因为单纯的操作序列数量 是收敛的,并能够有效地补充强制访问控制的安全性,但如何对策略序列进行分析,提供一 种能增强操作系统安全性的实现方法和安全保障系统,还有待于进一步研究和开发。
技术实现思路
本专利技术的目的是针对现有技术存在的不足,提供一种运行效率高,能有效保障操 作系统安全的强制访问控制方法及系统。 为达到上述目的,本专利技术所采用的技术方案是提供一种强制访问控制方法,其特 征在于包括如下步骤 (1)强制访问控制执行模块截获主体的操作请求,并将其转发至决策模块,由决策 模块向策略模块发出操作许可请求; (2)策略模块依据系统安全管理员的设置,判断当前工作状态为正常状态或学习 模式,若为学习模式,则执行步骤(4);若为正常状态,则查询初始强制访问控制策略数据 库和细化的强制访问策略数据库,如果当前操作请求在上述两个策略数据库中都找到相应 的允许策略,则将当前操作向策略序列分析模块传递允许操作请求,执行步骤(3);否则向 决策模块提交拒绝操作请求并转至步骤(7); (3)策略序列模块接受由策略模块转来的操作许可请求,查询策略序列数据库并 作出判断,将允许当前操作或拒绝当前操作的判断结果提交给决策模块后转至步骤(7); (4)策略模块进入学习模式,查询初始强制访问控制策略数据库,判断当前操作是 否符合初始的强制访问控制策略,若符合初始的强制访问控制策略,执行步骤(5);否则向 决策模块提交拒绝操作请求并转到步骤(7); (5)策略模块将当前操作许可请求转至策略序列模块,策略序列模块对当前操作 进行策略序列分析,并与系统安全管理员进行交互; (6)策略模块接收策略序列模块和系统安全管理员交互的允许当前操作的结果,对当前操作进行策略细化分析,并与系统安全管理员进行交互;更新细化的强制访问控制策略库;以系统安全管理员判断的结果作为最终的判断结果提交给决策模块; (7)决策模块将系统的决策结果交予强制访问控制执行模块实施对主体的操作请求的允许或拒绝。 上述步骤(5)中所述的策略序列分析的具体方法为 (a)策略序列模块将当前操作转换成初始的强制访问控制策略,作为当前策略存 储在缓存中; (b)策略序列模块将当前策略和之前的策略组合成不定长策略序列,查询策略序 列库,判断是否允许当前操作序列,若当前操作序列存在于策略序列库中,则向决策模块提 交操作许可请求执行步骤(6);否则将该序列结果与系统安全管理员进行交互,执行步骤 (c); (c)若系统安全管理员允许当前操作,则策略序列模块将当前操作对应的初始强 制访问控制策略与之前操作序列所对应的初始强制访问控制策略序列组成当前操作序列, 更新到策略序列库中,执行步骤(6);若系统安全管理员拒绝当前操作,则向决策模块提交 拒绝操作请求并转至步骤(7)。 上述步骤(6)中所述的策略细化分析的具体方法是 (A)策略模块接受决策模块发出操作许可请求,查询当前操作请求在细化的策略 数据库中是否有相应的类型,若为允许当前操作序列,提交操作允许请求到决策模块,执行 步骤(7),否则与系统安全管理员进行交互,执行步骤(B); (B)策略模块获得系统安全管理员对当前操作的判断结果,若为允许当前操作,则 将其单独定义一个类型,把当前操作作为一条策略更新到细化的策略数据库中,并将当前 的策略序列更新到策略序列模块中的策略序列库中,提交操作允许请求到决策模块,否则 提交操作拒绝请求到决策模块,执行步骤(7)。 —种强制访问控制系统,其特征在于它包括访问控制执行模块、决策模块、策略模 块和策略序列模块;该系统的工作状态包括正常状态和学习模式,由系统安全管理员选择; 所述的访问控制执行模块,用于截获主体的初始强制访问控制策略数据库和细化的强制访问策略数据库操作请求并转发至决策模块;执行决策模块所返回的操作请求的允许或拒绝 判断结果;所述的决策模块,用于将访问控制执行模块截获的主体的操作请求转发给策略 模块;所述的策略模块包括初始强制访问控制策略数据库和细化的强制访问策略数据库; 策略模块将查询上述两个策略数据库的结果提交给决策模块;在学习模式下更新细化的策 略数据库,并将当前的操作请求所对应的初始强制访问控制策略发送给策略序列模块所 述的策略序列模块包括策略序列数据库,策略序列模块用于接受由策略模块传来的操作许 可请求,根据之前的系统调用对应的初始强制访问控制策略与当前的系统调用对应的初始 强制访问控制策略组合成策略序列,将查询策略序列数据库的结果提交给决策模块,并在 学习模式下更新策略序列数据库。 本专利技术的原理是由于当前对操作系统安全攻击的一个重要特征是攻击代码的控 制流有别于正常程序代码的控制流,本专利技术分析程序的策略执行序列,对当前程序的执行 过程进行强制访问控制和序列分析双重判断,保证系统的安全性。同时通过策略执行序列 和交互,自动生成高安全性的强制访问控制策略。 与现有技术相比,本专利技术的显著特点是将策略序列与强制访问控制相结合,采用 策略序列分析方法构建访问控制模型,能够保证在自动细化生成的强制访问控制策略下操 作系统的安全;自学习的策略模块能够将初始的强制访问控制策略细化,细化后的访问控 制策略能够满足初始的强制访问控制模型,能更好地有效保护操作系统的安全;本专利技术构 建的系统,其决策模块、策略模块和策略序列模块等核心模块可完全进入在操作系统内核, 运行效率高。附图说明 图1是本专利技术提供的一种强制访问控制系统的结构示意图; 图2是本专利技术提供的一种强制访问控制系统正常状态时的工作流程图; 图3是本专利技术提供的一种强制访问控制系统学习模式时的工作流程。具体实施例方式下面结合实施例和附图对本专利技术作进一步描述。 实施例1 参见附图l,它是本实施例提供的一种强制访问控制系统的结构示意图;该系统 包括访问控制执行模块、决策模块、策略模块和策略序列模块;策略模块包括初始的强本文档来自技高网...
【技术保护点】
一种强制访问控制的方法,其特征在于包括如下步骤:(1)强制访问控制执行模块截获主体的操作请求,并将其转发至决策模块,由决策模块向策略模块发出操作许可请求;(2)策略模块依据系统安全管理员的设置,判断当前工作状态为正常状态或学习模式,若为学习模式,则执行步骤(4);若为正常状态,则查询初始强制访问控制策略数据库和细化的强制访问策略数据库,如果当前操作请求在上述两个策略数据库中都找到相应的允许策略,则将当前操作向策略序列分析模块传递允许操作请求,执行步骤(3);否则向决策模块提交拒绝操作请求并转至步骤(7);(3)策略序列模块接受由策略模块转来的操作许可请求,查询策略序列数据库并作出判断,将允许当前操作或拒绝当前操作的判断结果提交给决策模块后转至步骤(7);(4)策略模块进入学习模式,查询初始强制访问控制策略数据库,判断当前操作是否符合初始的强制访问控制策略,若符合初始的强制访问控制策略,执行步骤(5);否则向决策模块提交拒绝操作请求并转到步骤(7);(5)策略模块将当前操作许可请求转至策略序列模块,策略序列模块对当前操作进行策略序列分析,并与系统安全管理员进行交互;(6)策略模块接收策略序列模块和系统安全管理员交互的允许当前操作的结果,对当前操作进行策略细化分析,并与系统安全管理员进行交互;更新细化的强制访问控制策略库;以系统安全管理员判断的结果作为最终的判断结果提交给决策模块;(7)决策模块将系统的决策结果交予强制访问控制执行模块实施对主体的操作请求的允许或拒绝。...
【技术特征摘要】
【专利技术属性】
技术研发人员:周学海,李曦,李奇,许宏琪,乜聚虎,
申请(专利权)人:苏州国华科技有限公司,
类型:发明
国别省市:32[中国|江苏]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。